はじめに
AWSのマネージドELB(ALB/NLB)やGCPのCloud Load Balancingなど、クラウド全盛の時代において、F5 BIG-IPを「物理ハードウェア(オンプレミス)」で触る機会は減っているかもしれません。
しかし、ミッションクリティカルなインフラやデータセンターの現場では、圧倒的なスループット、パケット処理性能、そして高度なトラフィック制御のために、今でも物理のF5 BIG-IPなどの専用アプライアンスが第一線で活躍しています。
クラウドであれば「インスタンスの停止・起動」や「コンソール接続」はWebコンソールから数クリックですが、オンプレミスの物理筐体がフリーズしたらどうするでしょうか?
夜中にデータセンターへ緊急入館の申請を出して、重い腰を上げて現地に駆けつけ、ラックの裏に回って電源ケーブルを物理マニュアルで引き抜く……なんて泥臭い現地作業は、できれば避けたいですよね。
今回は、オンプレF5の運用ノウハウとして絶対に欠かせない、独立管理プロセッサ 「AOM(Always On Management)」 の概要と、iシリーズにおける設定手順をご紹介します。
(rシリーズはまた別途)
1. クラウドにはないオンプレの壁を破る「AOM」とは?
AOM(Always On Management)とは、BIG-IPのメインCPUやTMOS(基本OS)とは完全に独立したハードウェア上で動作する管理用プロセッサです。サーバーの世界でいう「iLO」「EXPRESSSCOPE」「iRMC」のような、アウトオブバンド(OOB)管理機能をインフラエンジニアに提供します。
クラウド環境(BIG-IP Virtual Editionなど)では、ハイパーバイザーやクラウド基盤側がコンソールや電源を制御してくれるため、AOMを意識することはありません。これこそが**「オンプレの物理F5ならでは」**の必須知識となります。
なぜAOMが必要なのか?(ユースケース)
- TMOSフリーズ時の命綱: 設定ミスや高負荷でメインOS(TMOS)へのSSHやWebUIが完全にハングアップした場合でも、AOMが生きていればリモートから筐体へアクセスできます。
- リモート電源操作: データセンターへ駆けつけることなく、リモートから本体の強制電源OFF/ON(Cold Boot)やリブートを実行できます。
- 遠隔コンソール接続: シリアルコンソールサーバー(コンソールターミナル)の空きポートが枯渇していても、AOMにSSHすればそのままホストのシリアルコンソール画面を奪取できます。
2. 【重要】iシリーズにおけるネットワークの挙動
一般的な物理サーバーの感覚だと「AOM専用の物理LANポートが筐体背面にあるはず」と思いがちです。
しかし、現行のiシリーズ(i2000, i4000, i5000シリーズ等)におけるAOMは、本体の「MGMT(管理)物理ポート」を共有する仕様になっています。
-
物理ポートは1つだけ: 前面の
MGMTポートにLANケーブルを1本挿します。 - IPアドレスは2つ必要: 内部のスイッチング構造により、その1本のケーブルの中に「TMOS用管理IP」と「AOM用管理IP」の2つの独立したIPアドレスを共存させます。(iシリーズの場合。rシリーズはまた別途。)
⚠️ 運用の注意点
物理ポートを共有しているため、AOMに割り当てるIPアドレスはTMOSのMGMTポートと同じサブネットから払い出すと効率的でしょう。
3. iシリーズでのAOM設定手順
3-1.先ずはIPアドレスの設定から
AOMのIPアドレスを設定する方法はいくつかあります。
- 前面タッチパネル
- CLIコマンド(F5-aom-config)
- aom直接接続~問い合わせ形式での入力
今回はaom直接接続~問い合わせ形式での入力 をご紹介します。
- TMOSにシリアルコンソールケーブルよりrootユーザでCLIログインします。
bigip4600-1 login: root
Password:
Last login: Sat Feb 7 03:53:59 on ttyS0
[root@bigip4600-1:Active:Disconnected] config #
- エスケープキー
Escを押した後に(を押下し、AOMモードに入ります。 -
Nを選択し、AOMとして利用したいIPアドレス、サブネット、Gateway(必要あれば)を指定します。
AOM Command Menu:
B --- Set console baud rate
I --- Display platform information
P --- Power on/off host subsystem
R --- Reset host subsystem
N --- Configure AOM network
S --- Configure SSH Server
A --- Reset AOM
Q --- Quit menu and return to console
Enter Command: N
AOM management network configurator
Use DHCP (Y/N)? N
IP address (required) : 192.168.1.77
Netmask (required) : 255.255.255.0
Gateway (optional) : 192.168.1.254
configuring.................................
configured 192.168.1.77 / 255.255.255.0 / 192.168.1.254
- 無通信断タイムアウト設定を設定したい場合は
Sを押下します。
※今回は検証環境のためタイムアウト 0(無制限)にしていますが、本番環境に投入する際は、セキュリティ要件やセッション残留防止のため、PJ設計指定のタイムアウト値(600秒など)を必ず設定してください。作業後にセッションが残りっぱなしになるのは御法度です。
Enter Command: S
Enter SSH session idle timeout (0 for no timeout, or 30-86400 seconds): 0
- 設定確認は
Iを押下します。
Enter Command: I
Host subsystem information:
Chassis Part Number : 200-0390-03 REV A
Chassis Serial Number : f5-****-****
Product Part Number : ESS-0001-01 REV C
Product Serial Number : ess*********
Power status : on
Firmware versions
AOM Firmware Version (1) : 8.0.14 (Active)
AOM Firmware Version (2) : 6.4.12
AOM Bootloader Version : 3.2
AOM Firmware Build Date : Mar 4 2019 14:19:48 PST
CPLD version : 0x26
LCD Application Version : 3.00.107.00.0
LCD Bootloader Version : 2.01.082.00.0
AOM Management Network Configuration
IPv4 Address : 192.168.1.77 (Static)
IPv4 Address Subnet Mask : 255.255.255.0
IPv4 gateway : 192.168.1.254
MAC Address : f4:**:**:**:**:**
SSH session idle timeout : No Timeout
Power Supply #1 Status : Present
Product Part Number : PWR-0334-02
Product Serial Number : ************
Power Supply #2 Status : Not Present
LCD Status : Present
Product Part Number : SUB-0675-07 REV A
Product Serial Number : ************
3-2.次にユーザ設定
AOM操作時にrootやadminをそのまま利用したい場合にはその限りではありませんが、今回はaomというユーザを作成してみたいと思います。
構築後の保守運用フェーズを見据えて、rootを使い回さずに作業者用のアカウント(aomユーザー)を作成し、さらにAdvanced Shellを有効化して、最小限のAOM権限だけを aom_setup_user で付与することも可能です。
ユーザ名とPWを入力します。shellを使うユーザになりますので、Advanced shellを有効にしておきます。
aomユーザが作成出来たら、TMOSにシリアルコンソールケーブルよりaomユーザでCLIログインします。
(rootにaomログイン権限与えたい方はrootで入ってください。適宜読み替えを。)
Kernel 3.10.0-862.14.4.el7.x86_64 on an x86_64
bigip4600-1 login: aom
Password:
Last login: Sat Jun 27 06:21:43 on ttyS0
aom_setup_user コマンドで、ユーザに対して外部からAOM経由で入る際の権限を与えます。
[aom@bigip4600-1:Active:Disconnected] ~ # aom_setup_user ?
Usage: /bin/aom_setup_user [options]
-d disable AOM user
-e enable AOM user
-l list AOM user
-o overwrite and enable AOM user, necessary to change/overwrite the existing AOM username
/bin/aom_setup_user will prompt for the the AOM username and password to configure.
[aom@bigip4600-1:Active:Disconnected] ~ # aom_setup_user -o
Enter username:aom
Enter Password:
Confirm Password:
AOM username aom successfully set and enabled. Note that the AOM network must be configured via the AOM menu.
[aom@bigip4600-1:Active:Disconnected] ~ #
3-3.試験をしましょう
AOMのIP(例:今回は192.168.1.77)にIP疎通性を確認します。
teratermやputty等のアプリからSSH接続します。
今回はaomユーザで入ります。(AOMはキーボードインタラクティブでなくとも入れます。)
エスケープキーEsc を押した後に ( を押下すれば、aomモードに入れます。
AOMモード遷移後。
Pを押下すると、電源制御です。off/onの制御が可能です。(数秒待っているとタイムアウトします。気持ち素早く入力を。)
まとめ
クラウド上のロードバランサーであれば、L1/L2の物理レイヤーやハイパーバイザー側はブラックボックスとして基盤側に担保されています。しかし、オンプレミスの物理インフラを預かる我々にとっては、 「TMOSが完全にハングした物理筐体を、現地に駆けつけることなく、いかにデスクから遠隔で生存確認し、安全に火入れ(再起動)し直せるか」 という泥臭い物理制御のノウハウこそが、運用の生死を分けます。
概要設計書作成等の上流工程では見落とされがちですが、シリアルコンソールサーバーのポート枯渇や、夜間のデータセンター(DC)緊急入館のハードルの高さを知っている現場(工事屋)からすれば、AOMはまさに命綱。
「万が一のインシデントに備えて必ずMGMTのIPと一緒に、AOMもセットで備えておく」 ことも安全な施工と同じレベルで重要と考えています。
情報元ソース(F5公式ドキュメント)
- K14594: Overview of the AOM system (AOMの基本概要と機能一覧)
- K91253046: Configuring AOM network access (iSeries platforms) (iシリーズにおける具体的なAOMネットワーク設定手順)